□薛亞君 蘇麗琴

隨著經(jīng)濟(jì)全球化和信息網(wǎng)絡(luò)技術(shù)的發(fā)展，數(shù)據(jù)的跨境轉(zhuǎn)移日益成為商業(yè)組織運作、國際貿(mào)易和電子商務(wù)發(fā)展的基礎(chǔ)，由此帶來的個人信息保護(hù)問題也成為國際社會關(guān)注的熱點，本文將從歐盟和美國的相關(guān)狀況出發(fā)，對數(shù)據(jù)跨境轉(zhuǎn)移中的個人信息保護(hù)問題進(jìn)行探討。

一、歐盟

歐盟歷史上一直非常重視個人隱私的保護(hù)，認(rèn)為個人信息相關(guān)的權(quán)利屬于基本人權(quán)的范疇。早在1981年，歐盟就通過了《關(guān)于自動化處理的個人信息保護(hù)公約》，對歐盟區(qū)域內(nèi)跨境數(shù)據(jù)中的個人信息保護(hù)問題進(jìn)行規(guī)制。1995年的《關(guān)于個人數(shù)據(jù)處理及自由流通的保護(hù)指令》(以下簡稱《95/46/EC指令》)中，歐盟進(jìn)一步對成員國向區(qū)域外的數(shù)據(jù)轉(zhuǎn)移做了嚴(yán)格限制，規(guī)定只有在第三國能夠?qū)€人信息提供充分保護(hù)的前提下，才允許成員國的個人數(shù)據(jù)向第三國轉(zhuǎn)移。該指令同時要求各成員國設(shè)立獨立于政府的數(shù)據(jù)保護(hù)機(jī)構(gòu)(以下簡稱DPA)負(fù)責(zé)監(jiān)督指令的實施。

由于《95/46/EC指令》過于嚴(yán)格，使得達(dá)到其個人信息充分保護(hù)標(biāo)準(zhǔn)的國家寥寥無幾。2016年4月，歐盟在《95/46/EC指令》的基礎(chǔ)之上，制定并通過了《歐盟一般數(shù)據(jù)保護(hù)條例》(以下簡稱GDPR)并于2018年5月正式生效。GDPR中對于與個人信息跨境轉(zhuǎn)移問題的規(guī)定主要體現(xiàn)在以下方面。

(一)GDPR解決了成員國數(shù)據(jù)保護(hù)法不統(tǒng)一帶來的行政成本問題。由于原來的《95/46/EC指令》只是最低標(biāo)準(zhǔn)，需要各成員國在此基礎(chǔ)上制定各自的國內(nèi)法，對歐盟多個成員國進(jìn)行個人信息處理的商業(yè)組織就可能需要面對多個不同成員國的數(shù)據(jù)保護(hù)法。而GDPR的性質(zhì)為“條例”，意味著它無需經(jīng)成員國轉(zhuǎn)化便自動適用，其中確立的保護(hù)標(biāo)準(zhǔn)也轉(zhuǎn)變?yōu)闅W盟的統(tǒng)一標(biāo)準(zhǔn)而非最低要求，結(jié)束了法律不統(tǒng)一給商業(yè)組織帶來的巨大成本。

(二)GDPR增加了第三國符合“充分保護(hù)”標(biāo)準(zhǔn)的幾率。GDPR第45條將《95/46/EC指令》中的第25條“第三國能夠提供充分保護(hù)”修改為“第三國的一個或多個地區(qū)或某國際組織能夠提供充分保護(hù)”，使得第三國符合“充分保護(hù)”標(biāo)準(zhǔn)的幾率增加。同時還規(guī)定，第三國是否提供了充分保護(hù)只需要經(jīng)過歐盟委員會的認(rèn)定，不再需要成員國的批準(zhǔn)，這就避免了成員國在國內(nèi)法中設(shè)定阻礙數(shù)據(jù)跨境轉(zhuǎn)移的相關(guān)程序。GDPR還增加了“數(shù)據(jù)控制者、數(shù)據(jù)處理者采取了適當(dāng)保護(hù)措施”這一情形，與原來規(guī)定的“第三國提供充分保護(hù)”一起并列為允許數(shù)據(jù)跨境流通的情形，同時規(guī)定了若干例外，降低了原有文本中“第三國提供充分保護(hù)”的重要性。

(三)“數(shù)據(jù)控制者”的義務(wù)變更。GDPR取消了“數(shù)據(jù)控制者”在自動化處理數(shù)據(jù)時向DPA進(jìn)行通報的規(guī)定，取而代之以檔案保存義務(wù)，并擴(kuò)大了“數(shù)據(jù)控制者”的說明責(zé)任，要求出現(xiàn)信息泄露時“數(shù)據(jù)控制者”應(yīng)當(dāng)在24小時內(nèi)向DPA報告相關(guān)情況。

(四)GDPR引入新型權(quán)利。GDPR引入新型權(quán)利如被遺忘權(quán)、數(shù)據(jù)攜帶權(quán)等，并規(guī)定只有在歐盟成員國居民的隱私能夠得到保護(hù)的前提下，才允許數(shù)據(jù)的跨境轉(zhuǎn)移，從而加強(qiáng)了對個人信息的保護(hù)。

二、美國

美國一向主張全球范圍內(nèi)數(shù)據(jù)的自由流動，強(qiáng)調(diào)數(shù)據(jù)的價值在于交流和利用，不主張對于個人信息跨境轉(zhuǎn)移進(jìn)行限制。

在美國的主導(dǎo)下，1980年9月，經(jīng)濟(jì)合作與發(fā)展組織(以下簡稱OECD)就通過了《關(guān)于保護(hù)個人隱私與數(shù)據(jù)跨境轉(zhuǎn)移的指南》(以下簡稱《OECD指南》)。該指南第三章規(guī)定成員國應(yīng)采取適當(dāng)?shù)拇胧┮员ＷC個人信息跨境轉(zhuǎn)移的自由，反對以保護(hù)個人隱私為由對個人信息的跨境轉(zhuǎn)移進(jìn)行限制。2004年亞太經(jīng)濟(jì)合作組織的《APEC隱私保護(hù)框架》，則是以《OECD指南》為主要參考，旨在促進(jìn)亞太地區(qū)無障礙的跨境數(shù)據(jù)轉(zhuǎn)移，鼓勵成員方信息共享。

近年來，美國更是尋求在各種自由貿(mào)易協(xié)定(FTAs)談判中引入跨境數(shù)據(jù)自由轉(zhuǎn)移的相關(guān)內(nèi)容。例如2012年《美—韓自由貿(mào)易協(xié)定》第15.8條中規(guī)定“應(yīng)盡量避免對跨境數(shù)據(jù)轉(zhuǎn)移施加不必要的阻礙”，而《跨太平洋貿(mào)易與投資伙伴關(guān)系協(xié)定》(TPP)、《跨大西洋貿(mào)易與投資伙伴關(guān)系協(xié)定》(TTIP)和《服務(wù)貿(mào)易協(xié)定》(TISA)談判中，跨境數(shù)據(jù)自由轉(zhuǎn)移也一直是美國最重要的關(guān)切。特朗普總統(tǒng)上臺后，出于黨派利益和競選承諾的考慮，宣布退出TPP、TTIP和TISA談判也遭到擱置，但這并不表示美國對跨境數(shù)據(jù)自由轉(zhuǎn)移的態(tài)度會發(fā)生改變。2018年9月在簽訂《美國、墨西哥、加拿大協(xié)議》(USMCA)談判中，美國一再向加、墨兩國施壓，并最終在USMCA中確定了“跨境數(shù)據(jù)自由轉(zhuǎn)移”的要求。

在個人信息保護(hù)方面，美國沒有綜合性的個人信息保護(hù)法，只是對金融、電信、未成年人、醫(yī)療等與敏感信息有關(guān)的領(lǐng)域有一些立法，如《電子通訊隱私法》《聯(lián)邦公平信用報告法》《金融隱私權(quán)法案》《有線通訊隱私權(quán)法案》《兒童在線隱私權(quán)保護(hù)法》等，對于其他領(lǐng)域更多地強(qiáng)調(diào)行業(yè)自律管理與民事救濟(jì)。2012年的《網(wǎng)絡(luò)消費者隱私保護(hù)框架》，延續(xù)了美國希望個人信息在全球范圍內(nèi)自由流動的態(tài)度。美國認(rèn)為信息數(shù)據(jù)的跨境流通是推動全球經(jīng)濟(jì)發(fā)展的一個重要元素，各國個人信息保護(hù)政策的差異會增加商業(yè)組織的經(jīng)營負(fù)擔(dān)。主張各國相互認(rèn)可彼此的商業(yè)資料隱私體系，并提議設(shè)置多元主體參與的程序以達(dá)成共同的保護(hù)行為規(guī)范。這種自律為主的保護(hù)體系在涉及到與歐盟有關(guān)的跨境數(shù)據(jù)轉(zhuǎn)移時出現(xiàn)了問題，為此美歐進(jìn)行了多年的談判，并在2000年7月達(dá)成了《美歐安全港協(xié)議》，但該協(xié)議隨后由于“斯諾登事件”的發(fā)生而被廢止。2016年，美歐在經(jīng)過多次磋商后，最終簽訂《美歐隱私盾協(xié)議》，賦予歐盟公民在個人隱私受到侵犯時向美國企業(yè)進(jìn)行申訴的權(quán)利。

三、對歐美的分析

以上數(shù)據(jù)跨境轉(zhuǎn)移中個人信息保護(hù)制度，分別代表了“國家主導(dǎo)為主，側(cè)重個人權(quán)利保護(hù)”與“行業(yè)自律為主，側(cè)重信息利用”兩種立場。歐盟屬于前者，而美國屬于后者。

由于美國一直利用其影響力在OECD、APEC等國際組織中推行自己的政策，加上OECD和APEC成立的主要目的是促進(jìn)成員方的經(jīng)貿(mào)往來，因而《OECD指南》和《APEC隱私保護(hù)框架》最終偏向于推動個人信息的跨境轉(zhuǎn)移。例如，兩份文件均表明其目的是促進(jìn)信息在成員方之間自由流動，避免對成員方的經(jīng)濟(jì)發(fā)展造成障礙，而未提及個人對其信息的權(quán)利是“基本權(quán)利”或“人權(quán)”，也不要求信息只能流向隱私法和法律制度與其相同的組織或國家。歐美不同選擇的背后有著各自的原因。

(一)歐美個人信息保護(hù)政策的價值優(yōu)先次序不同。歐盟認(rèn)為個人對其信息的自決權(quán)是歐盟憲法第8條規(guī)定的基本人權(quán)，是憲法上的價值追求。在經(jīng)歷了二次世界大戰(zhàn)中納粹德國踐踏人類尊嚴(yán)的災(zāi)難后，歐洲人對任何可能導(dǎo)致人與人之間控制的危險都高度警惕，為了捍衛(wèi)人權(quán)寧肯犧牲一些商業(yè)機(jī)會。而美國并不認(rèn)為個人對其信息享有憲法上的權(quán)利，也不認(rèn)為個人信息的保護(hù)具有憲法價值。

(二)歐盟注重個人信息的政治特性，對個人信息的保護(hù)采取的是權(quán)利路徑，而美國更注重個人信息的經(jīng)濟(jì)特性，對個人信息保護(hù)采取的是損害路徑。歐盟認(rèn)為個人對其信息的掌控，是出于個體在社會中發(fā)展獨立人格的需要，將“信息主體同意”作為個人信息處理合法的前提。除了統(tǒng)一立法確立個人對其信息的權(quán)利外，還設(shè)立數(shù)據(jù)保護(hù)機(jī)構(gòu)以公權(quán)力監(jiān)督信息處理活動。而美國認(rèn)為個人信息是一種能夠在信息市場上自由流動的商品。除了一些特殊領(lǐng)域外，只要是合法目的所需，任何人都可以進(jìn)行信息采集，不用事先征得信息主體的同意。在對個人信息處理的問題上，美國反對國家統(tǒng)一立法，全面干預(yù)，而是強(qiáng)調(diào)多數(shù)領(lǐng)域都應(yīng)該堅持行業(yè)自律，只有在對個人信息的處理造成損害時，信息主體才能基于侵犯隱私權(quán)要求損害方終止處理行為。

(三)歐美信息技術(shù)水平和經(jīng)濟(jì)發(fā)展?fàn)顩r不同。目前Google、Apple、Amazon等美國企業(yè)在歐盟互聯(lián)網(wǎng)市場上一直占據(jù)著主導(dǎo)地位，在相當(dāng)長的一段時間，歐盟本土的信息產(chǎn)業(yè)都難以扭轉(zhuǎn)落后局面。“棱鏡計劃”的曝光也使得歐盟更加注意防范個人信息跨境移轉(zhuǎn)可能會對其安全造成的危險。因而，盡管嚴(yán)格的跨境信息保護(hù)政策也會影響歐盟本土相關(guān)企業(yè)的發(fā)展，但面對信息技術(shù)市場被美國企業(yè)壟斷的現(xiàn)實，歐盟還是采取了嚴(yán)格的保護(hù)政策，以求對美國企業(yè)進(jìn)行打壓，并保護(hù)自己相關(guān)產(chǎn)業(yè)的安全。而美國作為全球信息技術(shù)產(chǎn)業(yè)的領(lǐng)頭羊，為保持其在電子商務(wù)和信息產(chǎn)業(yè)的優(yōu)勢地位，同時為了方便刺探他國情報，主張全球范圍內(nèi)個人信息的自由流通。

四、對我國的啟示

(一)衡量多種利益關(guān)系，加快我國個人信息保護(hù)法的進(jìn)程。隨著信息化進(jìn)程的發(fā)展，各國對于信息依賴和利用的需求日益增強(qiáng)，我國個人信息的跨境轉(zhuǎn)移也會越來越頻繁。在這種情形下，如果我國不對個人信息進(jìn)行保護(hù)，國外的機(jī)構(gòu)和在華跨國公司會蜂擁而至收集我國的數(shù)據(jù)并傳輸至境外。然而令人遺憾的是，我國完整意義上的個人信息保護(hù)法至今仍無出臺，2012年全國人大常委會的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》以及2013年工信部的《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》均未提及數(shù)據(jù)跨境轉(zhuǎn)移問題，《刑法修正案七》的出售、非法提供公民個人信息罪和竊取、非法獲取公民個人信息罪所能囊括的僅是非常嚴(yán)重的犯罪行為。目前，只有2013年工信部頒布的《信息安全技術(shù)——公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》(以下簡稱《指南》)第5.4.5條規(guī)定，“未經(jīng)個人信息主體的明示同意，或法律法規(guī)明確規(guī)定，或未經(jīng)主管部門同意，個人信息管理者不得將個人信息轉(zhuǎn)移給境外個人信息獲得者，包括位于境外的個人或境外注冊的組織和機(jī)構(gòu)?！钡摗吨改稀分皇侵笇?dǎo)性文件，并無強(qiáng)制約束力，規(guī)定也過于簡單機(jī)械。

由于個人信息的處理是一個復(fù)雜的問題，圍繞著個人信息，不僅存在著個人信息主體對其個人信息的保護(hù)需求，還存在著商業(yè)組織對個人信息的商業(yè)利用需求以及國家對個人信息的公共管理需求。因而筆者認(rèn)為，從我國實際情況出發(fā)，關(guān)注個人、商業(yè)組織和國家三方之間的利益平衡應(yīng)是指導(dǎo)立法的基本精神。

從立法模式上來看，歐盟與美國模式各有其優(yōu)缺點。歐盟最大的弊病是成本太大，對吸引外資不利，而電子商務(wù)背景下，數(shù)據(jù)信息只能在與歐盟有類似法律的國度之間流通也是不可想象的。歐盟也認(rèn)識到這個問題，所以在GDPR中進(jìn)一步簡化了數(shù)據(jù)跨境轉(zhuǎn)移規(guī)則，但GDPR的運行對歐盟經(jīng)濟(jì)的發(fā)展會產(chǎn)生多大的影響，還需要進(jìn)一步的觀察。而美國模式最大的缺點，是過于強(qiáng)調(diào)個人信息的經(jīng)濟(jì)特性，忽視了信息處理對人格尊嚴(yán)的直接威脅，也忽視了在數(shù)據(jù)流轉(zhuǎn)過程中個人和企業(yè)之間嚴(yán)重的信息不對稱問題。現(xiàn)實生活中個人很難了解企業(yè)到底如何處理其個人信息，更無法對企業(yè)的行為進(jìn)行有效監(jiān)控。而行業(yè)組織畢竟是民間組織，沒有法律的強(qiáng)制執(zhí)行力，對于違反規(guī)則的企業(yè)最多就是撤銷行業(yè)認(rèn)證，完全的行業(yè)自律模式無法對個人信息提供充分有效的保護(hù)。

從我國的實際情況來看，與歐盟相似，我國在信息技術(shù)領(lǐng)域相對美國而言處于劣勢地位，同時我國的行會、商會制度不發(fā)達(dá)，也沒有類似于聯(lián)邦貿(mào)易委員會的機(jī)構(gòu)對行業(yè)自治的執(zhí)行進(jìn)行監(jiān)督，過于寬松的自律模式會使得國內(nèi)的個人信息大規(guī)模地向境外集中，存在較大的安全風(fēng)險。在我國個人信息保護(hù)的相關(guān)法律不完善，互聯(lián)網(wǎng)行業(yè)不太規(guī)范的情形下，主要依靠行業(yè)自律來保障數(shù)據(jù)跨境轉(zhuǎn)移中個人信息的保護(hù)不現(xiàn)實。同時，我國與歐盟之間并無“安全港協(xié)議”或“隱私盾協(xié)議”，完全借用美國模式會使得我國的個人信息保護(hù)無法達(dá)到歐盟的要求，在與歐盟進(jìn)行國際貿(mào)易往來時產(chǎn)生許多麻煩。

因而筆者贊成對兩種模式進(jìn)行折衷，形式上可采取歐盟模式，在國家層面上制定綜合性的個人信息保護(hù)法，對包括數(shù)據(jù)跨境轉(zhuǎn)移在內(nèi)的基本問題作出規(guī)定，但立法時必須有節(jié)制，預(yù)留一些彈性空間，避免超前立法阻礙經(jīng)濟(jì)發(fā)展和技術(shù)創(chuàng)新。在具體制度上，可以更多地吸收美國的一些經(jīng)驗，重視市場自律的作用，鼓勵信息行業(yè)制定自律性規(guī)范，推動信息業(yè)者根據(jù)國家個人信息保護(hù)法的原則規(guī)定，結(jié)合自身的業(yè)務(wù)特點和經(jīng)驗，制定更具有針對性的個人信息保護(hù)與使用規(guī)則。

(二)對個人信息的跨境轉(zhuǎn)移實行分類管理。在個人信息跨境轉(zhuǎn)移的問題上，有觀點認(rèn)為數(shù)據(jù)信息關(guān)系到經(jīng)濟(jì)安全、國家安全，主張全面限制個人信息的跨境轉(zhuǎn)移。筆者認(rèn)為這種觀點有些矯枉過正，互聯(lián)網(wǎng)和大數(shù)據(jù)背景下，流動與開放性是信息的本質(zhì)屬性，信息在全球范圍的流動是無法被完全禁止的，過于僵化的態(tài)度只會導(dǎo)致我國的經(jīng)濟(jì)喪失應(yīng)有的活力和機(jī)會。筆者贊成對個人信息跨境轉(zhuǎn)移進(jìn)行分類管理：對于涉及國家安全、經(jīng)濟(jì)安全的重要個人信息應(yīng)嚴(yán)格禁止轉(zhuǎn)移出境；對于公開或利用會對個人造成重大影響的個人敏感信息，如個人財務(wù)、性生活、遺傳信息、醫(yī)療記錄等信息，應(yīng)當(dāng)強(qiáng)化其保護(hù)，除非信息主體明確同意或自己公開或法律有明文規(guī)定外，原則上應(yīng)當(dāng)限制其向境外流動；對于一般個人信息的跨境轉(zhuǎn)移，則應(yīng)強(qiáng)化其利用，無需設(shè)置過多限制，以滿足信息業(yè)者利用個人信息的正當(dāng)需求。政府相關(guān)部門可以采用問責(zé)制，制定數(shù)據(jù)處理服務(wù)商的安全認(rèn)證制度，設(shè)立標(biāo)準(zhǔn)合同或約束性公司規(guī)則等方式對信息跨境轉(zhuǎn)移行為進(jìn)行引導(dǎo)。

(三)積極參與數(shù)據(jù)跨境移轉(zhuǎn)中個人信息保護(hù)的國際合作。全球經(jīng)濟(jì)一體化與科技的無國界使得個人信息的流動具有與生俱來的國際性，一國無法單靠自己的力量為該國公民提供適當(dāng)保護(hù)，因而歐盟、美國都在通過區(qū)域性協(xié)作以解決個人信息保護(hù)與個人信息跨境自由流動之間的矛盾。目前，OECD和APEC均建立了跨境隱私執(zhí)法協(xié)作機(jī)制，我國并非OECD成員國，雖然是APEC成員但并沒有加入CBPRS，對《APEC隱私保護(hù)框架》的具體項目參與度很低，與其他國家也沒有類似安全港之類的協(xié)議，這與我國頻繁的國際貿(mào)易往來不太匹配。只有積極參與相關(guān)的國際合作，在國際規(guī)則的制定以及雙邊和多邊貿(mào)易協(xié)定中積極提出我國的利益訴求，才能提升我國對國際標(biāo)準(zhǔn)的影響力和話語權(quán)，也才能更好地處理我國的個人信息跨境轉(zhuǎn)移問題。

(四)推進(jìn)我國企業(yè)完善自治。隨著經(jīng)濟(jì)的發(fā)展，我國越來越多的企業(yè)開始在國外進(jìn)行投資，這些企業(yè)要想確保正常的運營，就必須遵守相關(guān)國家的規(guī)定。而想承接國外如歐盟數(shù)據(jù)處理外包業(yè)務(wù)的企業(yè)，也需要注意諸如DPO的設(shè)立、信息泄露的通知義務(wù)、標(biāo)準(zhǔn)合同條款的選擇等問題。在現(xiàn)有安排下，我國企業(yè)主動申請歐盟的BCRs認(rèn)證或者APEC的CBPRs認(rèn)證，有利于較快地獲得國外客戶、消費者的信任，并可以起到示范作用，以促進(jìn)國內(nèi)相關(guān)行業(yè)的整體進(jìn)步。